2009年02月23日 07時30分 UPDATE
特集/連載

社外にある情報のセキュリティを守るクラウドからの情報流出リスクに対処するには

クラウドコンピューティングにまつわる情報セキュリティ問題とは、よその社のネットワークにある情報の流出を心配するということだ。

[Joel Dubin,TechTarget]

 情報セキュリティのプロであるということは、頭痛との付き合い方を身に着けることでもある。社内ネットワークの情報セキュリティだけでも頭痛の種なのに、よそのネットワークにある情報のセキュリティ確保となるとさらに複雑だ。一言で言うと、ホスティングされたソフトウェア、つまりクラウドコンピューティング、あるいはサービスとしてのソフトウェア(SaaS)にまつわるセキュリティ問題とは、そういうことなのだ。

 SaaSは一見、外部委託の美化されたバージョンのように見える。特にクレジットカード処理などの場合、多くの企業がデータを外部の業者に送っているが、SaaSの場合は少し違う。外部の業者がソフトウェアをホスティングして、実装とインフラを管理しているのだ。ソフトウェアを購入してインストールする代わりに、企業はインターネットなどを経由してSaaSプロバイダーに接続する。SaaSは可用性、管理の容易さ、コスト削減といった理由からビジネス主導になるのが普通だ。

 知名度の高いSaaSプロバイダーにはGoogleやAmazon.comがあり、それぞれのネットワークを通じてアプリケーションをサービスとして提供している。ほかにも例を挙げるとSalesforce.comはCRMソフトウェアをオンラインで提供し、Qualysはセキュリティ監視と、PCI DSS(Payment Card Industry Data Security Standard)で定められた内容を含むすべてのスキャンをオンデマンドで提供している。

SaaSとコンプライアンス

 基本的に、企業が自分たちのネットワークで既に抱えているのと同じセキュリティ不安(ネットワーク、ハードウェア、アプリケーション、データのセキュリティ確保)は、SaaSで情報をアウトソーシングしている企業にも当てはまる。しかしサーベンス・オクスリー(SOX)法、グラム・リーチブライリー(GLBA)法、HIPAA(医療保険の相互運用性と説明責任に関する法律)といった法規制や、PCI DSSといった業界基準のコンプライアンスが絡むと事は複雑になりかねない。

 SaaS以前、コンプライアンスの成功は尽きるところ、ユーザーの特定とアクセス権限の割り当て、重要データの特定とその保存場所および暗号化方法の決定、それらすべてを監査と法令順守のために文書化するという小数の業務が鍵だった。しかし、SaaSでこうしたプロセスが複雑になった。理論的に、企業は自社のデータを完全にコントロールしているはずだが、実際にはSaaSプロバイダーやそのプロバイダーのパートナーがコントロールしているネットワークのどこに自社のデータがあるのか、顧客企業が把握するのは難しいこともある。

SaaSとPCI DSSの管理

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news015.jpg

インターネットは信用できるのだろうか?
パーソナルデータのマーケティングへの利用を消費者はどう感じているか、ソーシャルログ...

news071.jpg

フィードフォース、セルフサービスでデータフィードの作成・管理が可能なプラットフォームを提供
フィードフォースは、データフィードの作成・管理・最適化を広告担当者自身で行うことの...

news081.jpg

Facebook広告にオフラインでの行動データを活用、アクシオムがデータ提供
フェイスブックジャパンとアクシオムジャパンは、アクシオムが提供するオフラインでの消...